Visualizzazione dei risultati da 1 a 3 su 3

Discussione: FILTER_SANITIZE_STRING rischio di sql injection?

  1. #1
    Utente di HTML.it
    Registrato dal
    May 2012
    Messaggi
    591

    FILTER_SANITIZE_STRING rischio di sql injection?

    Ciao a tutti,

    Data la variabile $stringa che proviene da un campo input html inserito dall'utente.

    se faccio questo:
    Codice PHP:
    $stringa=filter_var($stringa,FILTER_SANITIZE_STRING);
    $sql="select * from tabla WHERE CONCAT(colonna1,colonna2,colonna3,colonna4,colonna5) LIKE '%".$stringa"%'"
    Rischio un sql injection o posso stare tranquillo?

    Grazie,
    Roberto

  2. #2
    Moderatore di PHP L'avatar di Alhazred
    Registrato dal
    Oct 2003
    Messaggi
    11,407
    Cosa usi per interfacciarti al database? MySQLi? PDO?
    Perché per queste cose è meglio usare i prepared statement, sono fatti appositamente.

  3. #3
    Utente di HTML.it
    Registrato dal
    May 2012
    Messaggi
    591
    Quote Originariamente inviata da Alhazred Visualizza il messaggio
    Cosa usi per interfacciarti al database? MySQLi? PDO?
    Perché per queste cose è meglio usare i prepared statement, sono fatti appositamente.
    Uso la classe PDO e ho risolto.
    Il problema era che stavo usando %?% al posto di utilizzare solo ? e passare la variabile direttamente come %variabile%.

    Grazie della risposta.

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  
Powered by vBulletin® Version 4.2.1
Copyright © 2018 vBulletin Solutions, Inc. All rights reserved.